1.1.4 滲透測試原則

在滲透測試過程中滲透測試人員要遵循規范性原則、可控性原則、最小影響性原則、保密性原則。

當滲透測試人員在授權測試某個項目時，滲透測試人員需要按照國家標準文檔，以及客戶的要求和滲透測試規范流程進行規范的測試操作。若滲透測試人員不按照規范測試，隨心所欲地對目標系統發起測試，可能會影響客戶系統的正常運行，并且可能會因此造成測試遺漏，將不能全面、系統化地對目標系統展開測試。

并且當滲透測試人員對目標系統展開攻擊時，一切攻擊測試和工具利用都必須是可以控制的。例如，當滲透測試人員在測試某轉賬漏洞時，若滲透測試人員將轉賬金額修改為100萬元進行轉賬測試，則可能會造成用戶系統產生嚴重的錯誤。又如，當滲透測試人員在服務器上上傳木馬時，若木馬能自動感染其他電腦最終導致客戶整個企業辦公用戶電腦都感染了相應的病毒，那么后期維護起來將消耗大量的成本，也阻礙了客戶公司的正常運行。

此外滲透測試人員必須在測試過程中使用最小的影響來完成盡可能多的漏洞測試，滲透測試人員不能在測試的同時破壞用戶服務器的正常運行。例如，當滲透測試人員在進行密碼爆破測試時，不應該啟用過多的線程或使用過快的發包速度，如果我們過快地發包則會對目標服務器造成過大的壓力負載，形成類似DDOS的攻擊，這樣可能會導致客戶的服務器短時間內無法被訪問，會給客戶造成巨大的損失。

最后滲透測試人員需要嚴格遵守保密性原則，滲透測試人員對客戶系統所進行的滲透測試中的一切內容都是需要保密的。在簽訂滲透測試合同時，安全服務提供方會和客戶簽署保密協議，滲透測試人員及其公司不得利用滲透測試過程中的任何數據做出其他有損甲方利益的事。并且在滲透測試過程中，對測試產生的相關數據都有嚴格的保密性措施，項目結束后應該及時清除相關的敏感數據。

在滲透測試中滲透測試人員需要做如下的風險規避：

在使用掃描器進行大量自動發包測試時，應該使用最小線程并且避開高峰業務時段進行測試。

測試開始前，可以先聯系對應系統負責人讓其對網站程序及數據庫做一個全面備份。

測試開始時，應該聯系對應系統負責人讓其對應用及服務器進行監控，出現異常可以及時修復和糾正。

在掃描結束后應該告知對應系統負責人自己注冊的賬戶、發表的測試內容、上傳的測試Shell等，讓其及時刪除。

滲透測試人員應該在客戶指定的測試范圍內測試，避免越界測試。

滲透測試人員在測試目標服務器的過程中，應該實時與網站管理員保持聯系。